【最終確認】MetaMask「アカウント凍結リスクとセキュリティ状況のご案内」は詐欺:PC/スマホで誘導先を分けるbitFlyer型波状攻撃と同一犯

【実録】MetaMask「アカウント凍結リスク」の正体:わずか15分に5通、PC/スマホで誘導先を使い分ける波状攻撃を暴く
Heartland-Lab (ハートランド・ラボ) 専門調査レポート
暗号資産ウォレット「MetaMask(メタマスク)」を騙る「アカウント凍結リスク」メールが確認されました。同一犯とみられるグループから、わずか15分間で切り口の異なる5通のメールが波状攻撃のように送りつけられており、リンク先もPC(パソコン)とスマートフォンでわざわざ別サイトを用意する念の入れようです。以前当ラボで解析したbitFlyer「アカウント凍結回避の最終ご案内」詐欺と同じ「凍結」を煽る手口・同じ時間帯の連続送信パターンであり、同一グループによる仮想通貨サービス利用者を狙った一連のキャンペーンである可能性が高いと見ています。
※重要:HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。
| 緊急性レベル | ★★★★★ (5/5) |
| 偽装工作精度 | ★★★★☆ (4/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam]【最終確認】アカウント凍結リスクとセキュリティ状況のご案内
送信者名:MetaMask Support(表示名は自由に詐称可能なため、実際の送信元アドレスの確認が重要です)
送信元アドレス:WKXTZA@ccqjem.help.szlwjqj.jp
受信日時:2026年7月3日(金)16:46:41
SPF(送信ドメイン認証。メールの送信元サーバーが正規のものかを判定する仕組み):Pass(送信元IPがドメイン所有者の許可したサーバーと一致)
Received-SPF client-ip:35.215.99.147
ご覧の通り、このメールはMetaMask公式を装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
なお、MetaMask公式ヘルプセンターでは「MetaMaskからのメールは開いたサポートチケットへの返信、またはコミュニティサイトの通知の2種類のみで、それ以外の送信元からのメールは詐欺」と明確に説明しています。ユーザーが問い合わせをしていない限り、MetaMaskから突然メールが届くこと自体がありえません。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
アカウント凍結リスクのお知らせ MetaMask ― Risk Management MetaMask公式の警告: シークレットリカバリーフレーズ(ウォレットを復元するための呪文のような12個の英単語。これを他人に教えるとウォレットの中身を全て盗まれます)をオンライン上で入力したり、第三者と共有したりしないでください。これはあなたのウォレットへの唯一のアクセス鍵です。MetaMaskがこれらの情報を要求することは絶対にありません。 〇〇様 平素よりMetaMaskをご利用いただき、誠にありがとうございます。 本メールは、お客様のアカウントにおけるセキュリティリスク評価が基準値を超過したことを受け、最終確認としてお送りしております。現時点ではアカウントは通常通りご利用いただけますが、以下の条件に該当する場合、資産保護のためアカウントの一部機能が凍結される可能性がございます。 ・過去30日間に不審なサードパーティDApps(外部の分散型アプリ)との接続履歴がある ・複数のフィッシングブラックリストドメインへのアクセスが検出された ・秘密鍵の漏洩が疑われるオンチェーンシグナル(ブロックチェーン上の取引記録から検知される異常な兆候)が確認された 確認期限:24時間以内 上記リスク要因に心当たりがない場合でも、予防的確認として以下の公式リンクよりアカウントの安全状態をご確認いただくことを強く推奨いたします。確認が完了し次第、凍結リスクは自動解除されます。 アカウントの安全状態を確認する リンクが開かない場合: https://www.cxr777.com/?W6DDecTMqL3HW8drhkdE2v6Q ご不明な点はMetaMask公式サポートまでお問い合わせください。 お客様の大切な資産を守るため、引き続きセキュリティ向上に努めてまいります。 ※本メールは自動送信されています。 ※お心当たりのない場合は破棄してください。 ※MetaMaskはConsensysの登録商標です。 ※本メールは〇〇様宛にお送りしております。

ActiveMailで受信した「【最終確認】アカウント凍結リスク」メールの全文。凍結条件を並べて危機感を煽る構成になっている。
■ 送信ルート及び偽装判定
Receivedヘッダー解析(サーバー通過証明):
Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=35.215.99.147; helo=wkxtza.ccqjem.help.szlwjqj.jp;
【偽装判定】:
MetaMask公式は前述の通りサポートチケットへの返信以外にメールを送信することがなく、送信ドメイン「szlwjqj.jp」もMetaMask公式のドメイン(metamask.io)とは一切無関係です。「szlwjqj」というランダムな文字列のドメインは、使い捨てのフィッシング専用インフラの典型例です。
送信元IP(client-ip)解析:
IPアドレス:35.215.99.147
ホスト名:szlwjqj.com
プロバイダー:Google Ireland Limited(Google Cloud Platform。世界中の企業や個人が利用できるGoogleのクラウドサーバーサービスで、攻撃者が匿名で使い捨てサーバーを借りる目的でも悪用されます)
利用形式:hosting(ホスティング。サーバーを借りて自分のサイトやメール配信基盤として使う形態)
AS番号(インターネット上のネットワークを識別する番号):43515
発信元ロケーション:アメリカ・カリフォルニア州ロサンゼルス(郵便番号90009)
Googleマップ:【位置情報を確認する】
【波状攻撃の実態】:
同一の宛先に対し、2026年7月3日16:31〜16:46のわずか15分間で、「アカウントのセキュリティ状態」「不審なトランザクションの検知」「セキュリティ監査」「送金・出金機能の制限回避」「アカウント凍結リスク」と切り口を変えながら計5通が連続送信されていることを確認しています。件名を段階的に変えることでスパムフィルターの学習をすり抜けつつ、受信者に「複数の警告が来ている=本当に危険な状態だ」と誤認させる典型的な畳みかけ手口です。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://www.cxr777[.]com/?y18G4ENtypQ0YnJu24y0fLuA
リンクドメイン:cxr777.com
【PC/スマホ別・誘導先の使い分け】:
このフィッシングサイトの最大の特徴は、アクセスする端末によって挙動を変える点です。
- PCからアクセスした場合:「アクセス拒否・リクエストがブロックされました」という画面が表示され、フィッシングサイトの中身を見ることができません。これは調査者やセキュリティ企業がPCから解析することを妨害する目的の防御策(クローキングの一種)とみられます。
- スマホからアクセスした場合:MetaMask公式サイトを精巧に模倣した偽ログイン画面が表示され、メールアドレスの入力を求められます。続いて「利用規約」画面が表示され、12秒間のカウントダウンが終わるまで同意ボタンが押せないという、正規サービスらしい”丁寧さ”を演出する巧妙な時間稼ぎの仕掛けが施されています。
サイトサーバー情報:Google Ireland Limited(Google Cloud Platform)/米カリフォルニア州ロサンゼルス
脅威レベル(ip-sc.net判定):低(※新規に立てられたばかりのサーバーであるため、まだブラックリスト登録が追いついていない可能性が高く、油断は禁物です)
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。

PCからリンクにアクセスした場合の画面。「アクセス拒否」と表示され中身を見ることができない。

偽の利用規約画面。12秒間のカウントダウンが終わるまで同意ボタンが押せない仕掛け。

スマホからアクセスした場合に表示される偽ログイン画面。MetaMask公式サイトを精巧に模倣している。
■ 注意点と対処法
- URLをクリックしない:リンク先は資産を盗むための精巧な偽サイトです。特にシークレットリカバリーフレーズの入力は絶対にしないでください。
- MetaMaskからの突然のメールはすべて疑う:MetaMask公式は、ユーザーが自分から問い合わせをしない限りメールを送ってくることはありません。
- 短時間に複数の警告メールが届いても慌てない:今回のように件名を変えて連続送信すること自体が、詐欺グループの常套手段です。
- 公式情報の確認:MetaMask公式「このメールは本当にMetaMaskからのものですか?」
本レポートの結論
MetaMask「アカウント凍結リスク」メールは、わずか15分間で切り口を変えながら5通も送りつけられる波状攻撃型の詐欺であり、PC・スマホで別々のフィッシングサイトを用意する周到さも確認されました。以前解析したbitFlyerを騙る同様の凍結詐欺と手口・時間帯が酷似しており、暗号資産関連サービスの利用者を横断的に狙う同一グループの犯行である可能性が高いです。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 16.4k件のビュー
【注意喚起】経済産業省・資源エネルギー庁「電気・ガス補助金失効通知」は詐欺!SPF認証失敗の不正メールがVポイント詐欺と同じ誘導先を使用 1.1k件のビュー
【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 1k件のビュー
【続報】国勢調査2026「罰則適用前最終通知」詐欺が一新——イタリア発送・スマホ限定の偽サイトでクローキングを実装 1k件のビュー
「受信メールが3通保留されています」のKAGOYAメールが届いたら要注意!BIGLOBEサーバー踏み台+化学会社サイト悪用+「kwwwa」偽ドメインという三重の罠を解剖 684件のビュー
🛡️ Heartland 管理者が推奨する「究極の対策セット」
関連記事

『詐欺メール』ヤマト運輸から『配達に関する重要なお知らせ』と、来た件
★詐欺メール解体新書★ スマホやタブレットが普及し増々便利になる私たちが生活する ...

『詐欺メール』日本郵便から『荷物の経路変更通知』と、来た件
★フィッシング詐欺メール解体新書★ スマホやタブレットが普及し増々便利になる私た ...

『詐欺メール』『【緊急】楽天カード利用に関する重要なお知らせ』と、来た件
楽天から不正利用に関するメールが スマホやタブレットが普及し増々便利になる私たち ...

『詐欺メール』『【重要】【ヤマト運輸】からお届けする商品が、お客様のご住所不備のためお届けできませんでした。』と、来た件
宅配業者に成りすます詐欺メールにご注意を スマホやタブレットが普及し増々便利にな ...

【注意】ANAを騙る「アカウントのセキュリティ警告」メールの正体と送信元IP解析
【調査報告】最新の詐欺メール解析レポート 解析対象:ANA(全日本 ...




